首页 > 其他分享 >深入理解 Spring Cloud Gateway 的原理

深入理解 Spring Cloud Gateway 的原理

时间:2022-12-20 23:45:13浏览次数:68  
标签:网关 服务 请求 Spring Cloud 过滤器 Gateway 路由

我正在参加「掘金·启航计划」

首发公众号-悟空聊架构:深入理解 Spring Cloud Gateway 的原理

你好,我是悟空。

本篇给大家带来的是微服务框架中非常重要的一个组件 API 网关。

本文已收录至《深入剖析 Spring Cloud 底层架构原理》

所有文章已同步至 www.passjava.cn

前言

在 PassJava 项目中,我用到了 Spring Cloud Gateway 作为 API 网关,客户端的所有的请求都是先经过网关,然后再转发到会员微服务、题目微服务等。

比如 API 网关和会员微服务对应的访问地址如下:

API 网关地址:http://localhost:8060

会员微服务地址:http://localhost:14000

客户端请求都是访问的 API 网关,然后网关转发到会员微服务,客户端无需知道会员微服务的地址。

本篇将会以 PassJava 作为案例进行讲解。

PassJava 开源地址:github.com/Jackson0714…

为什么需要 API 网关

在 SpringBoot 单体架构中,一般只有一个后端服务,如下图所示:

单体架构访问示例图

但是在 SpringCloud 微服务架构中,往往有多个微服务,这些微服务可能部署在不同的机器上,而且一个微服务可能会扩容成多个相同的微服务,组成微服务集群。

微服务架构访问示例图

这种情况下,会存在如下问题:

  • 如果需要添加鉴权功能,则需要对每个微服务进行改造。

  • 如果需要对流量进行控制,则需要对每个微服务进行改造。

  • 跨域问题,需要对每个微服务进行改造。

  • 存在安全问题,每个微服务需要暴露自己的 Endpoint 给客户端。Endpoint 就是服务的访问地址 + 端口。比如下面的地址:

    http://order.passjava.cn:8000
    复制代码
  • 灰度发布、动态路由需要对每个微服务进行改造。

这个问题的痛点是各个微服务都是一个入口,有没有办法统一入口呢?

解决这个问题的方式就是在客户端和服务器之间加个中间商就好了呀,只有中间商一个入口,这个中间商就是网关。

还有一个细节问题:多个微服务之间是如何通信的?这就要用到远程调用组件了,比如 OpenFeign。但是服务之间的调用是需要知道对方的 Endpoint 的,如果一个服务有多个微服务,就需要通过负载均衡组件进行流量分发。那微服务之间不就暴露 Endpoint 了吗?这个没有问题,毕竟只是后端服务知道,外界是不知道的。

为了帮助大家更容易理解网关的作用,这里有个网关、客户端、微服务的三方通话。

网关对话

网关:客户端你好,你现在可以只跟我通信了,我可以将你本来想发给微服务的流量进行转发,微服务处理完之后,将结果返回给我,我再给你。

客户端:你没有赚差价吧?

API 网关:我可能会加些请求头、做下认证、鉴权、限流等。

客户端:微服务不是自己可以做吗?

API 网关:但是每个微服务都得自己加,这就很麻烦了,都交给我就好了。

微服务:网关你好,你会为我保密我的地址对吗?

API 网关:当然,我给客户端看的是我自己的地址,客户端不需要知道你的地址,只需要知道你的 API 是哪个就行,剩下的交给我来转发给你。

API 网关选型对比

业界比较出名的网关:Spring Cloud Gateway、Netflix Zuul、Nginx、Kong、Alibaba Tengine。

作为 Spring Cloud 全家桶中的一款组件,当然选择 Spring Cloud Gateway 了。

最开始 Spring Cloud 推荐的网关是 Netflix Zuul 1.x,但是停止维护了,后来又有 Zuul 2.0,但是因为开发延期比较严重,Spring Cloud 官方自己开发了 Spring Cloud Gateway 网关组件,用于代替 Zuul 网关。

所以本篇我们只会讲解 Spring Cloud Gateway 网关组件。

Spring Cloud Gateway 的工作流程

Gateway 的工作流程如下图所示:

路由判断;客户端的请求到达网关后,先经过 Gateway Handler Mapping 处理,这里面会做断言(Predicate)判断,看下符合哪个路由规则,这个路由映射后端的某个服务。

请求过滤:然后请求到达 Gateway Web Handler,这里面有很多过滤器,组成过滤器链(Filter Chain),这些过滤器可以对请求进行拦截和修改,比如添加请求头、参数校验等等,有点像净化污水。然后将请求转发到实际的后端服务。这些过滤器逻辑上可以称作 Pre-Filters,Pre 可以理解为“在...之前”。

服务处理:后端服务会对请求进行处理。

响应过滤: 后端处理完结果后,返回给 Gateway 的过滤器再次做处理,逻辑上可以称作 Post-Filters,Post 可以理解为“在...之后”。

响应返回:响应经过过滤处理后,返回给客户端。

小结:客户端的请求先通过匹配规则找到合适的路由,就能映射到具体的服务。然后请求经过过滤器处理后转发给具体的服务,服务处理后,再次经过过滤器处理,最后返回给客户端。

Spring Cloud Gateway 的断言

断言(Predicate)这个词听起来极其深奥,它是一种编程术语,我们生活中根本就不会用它。说白了它就是对一个表达式进行 if 判断,结果为真或假,如果为真则做这件事,否则做那件事。

在 Gateway 中,如果客户端发送的请求满足了断言的条件,则映射到指定的路由器,就能转发到指定的服务上进行处理。

断言配置的示例如下,配置了两个路由规则,有一个 predicates 断言配置,当请求 url 中包含 api/thirdparty,就匹配到了第一个路由 route_thirdparty。(代码示例来自我的开源项目 PassJava)

断言配置

接下来我们看下 Route 路由和 Predicate 断言的对应关系:

断言和路由的对应关系原理图

  • 一对多:一个路由规则可以包含多个断言。如上图中路由 Route1 配置了三个断言 Predicate。
  • 同时满足:如果一个路由规则中有多个断言,则需要同时满足才能匹配。如上图中路由 Route2 配置了两个断言,客户端发送的请求必须同时满足这两个断言,才能匹配路由 Route2。
  • 第一个匹配成功:如果一个请求可以匹配多个路由,则映射第一个匹配成功的路由。如上图所示,客户端发送的请求满足 Route3 和 Route4 的断言,但是 Route3 的配置在配置文件中靠前,所以只会匹配 Route3。

常见的 Predicate 断言配置如下所示,假设匹配路由成功后,转发到 http://localhost:9001

常见的 Predicate 断言配置

代码演示

下面演示 Gateway 中通过断言来匹配路由的例子。

  • 新建一个 Maven 工程,引入 Gateway 依赖。
<dependency>
  <groupId>org.springframework.cloud</groupId>
  <artifactId>spring-cloud-starter-gateway</artifactId>
</dependency>
复制代码
  • 新建 application.yml 文件,添加 Gateway 的路由规则。
spring:
  cloud:
    gateway:
      routes:
        - id: route_qq
          uri: http://www.qq.com
          predicates:
            - Query=url,qq
        - id: route_baidu
          uri: http://www.baidu.com
          predicates:
            - Query=url,baidu
server:
  port: 8060 
复制代码

第一条路由规则:断言为 Query=url,qq,表示当请求路径中包含 url=qq,则跳转到www.qq.com

第二条路由规则:当请求路径中包含 url=baidu,则跳转到www.baidu.com

Spring Cloud Gateway 动态路由

在微服务架构中,我们不会直接通过 IP + 端口的方式访问微服务,而是通过服务名的方式来访问。如下图所示,微服务中加入了注册中心,多个微服务将自己注册到了注册中心,这样注册中心就保存了服务名和 IP+端口的映射关系。

接下来我们来看下加入 Gateway 后,请求是如何进行转发的。

客户端先将请求发送给 Nginx,然后转发到网关,网关经过断言匹配到一个路由后,将请求转发给指定 uri,这个 uri 可以配置成 微服务的名字,比如 passjava-member。

那么这个服务名具体要转发到哪个 IP 地址和端口上呢?这个就依赖注册中心的注册表了,Gateway 从注册中心拉取注册表,就能知道服务名对应具体的 IP + 端口,如果一个服务部署了多台机器,则还可以通过负载均衡进行请求的转发。原理如下图所示:

对应的配置为 uri 字段如下所示

uri: lb://passjava-question,表示将请求转发给 passjava-question 微服务,且支持负载均衡。lb 是 loadbalance(负载均衡) 单词的缩写。

那什么叫动态路由呢?

当 passjava-question 服务添加一个微服务,或者 IP 地址更换了,Gateway 都是可以感知到的,但是配置是不需要更新的。这里的动态指的是微服务的集群个数、IP 和端口是动态可变的。

代码示例

案例:调用 OSS 第三方服务,上传文件到 OSS。(基于 PassJava 项目)

前提:前端页面配置的统一访问路径是网关的地址:http://localhost:8060/api/,OSS 服务对应的地址是http://localhost:14000

期望结果:将前端请求

http://localhost:8060/api/thirdparty/v1/admin/oss/getPolicy
复制代码

转发到 OSS 服务。

http://localhost:14000/thirdparty/v1/admin/oss/getPolicy
复制代码

配置网关:

spring:
  cloud:
    gateway:
      routes:
        - id: route_thirdparty # 第三方微服务路由规则
          uri: lb://passjava-thirdparty # 负载均衡,将请求转发到注册中心注册的 passjava-thirdparty 服务
          predicates: # 断言
            - Path=/api/thirdparty/** # 如果前端请求路径包含 api/thirdparty,则应用这条路由规则
          filters: #过滤器
            - RewritePath=/api/(?<segment>.*),/${segment} # 将跳转路径中包含的api替换成空
复制代码

测试上传文件成功。

接下来我们看下 Gateway 非常重要且核心的功能:过滤器。

Spring Cloud Gateway 的过滤器

网关,顾名思义,就是网络中的一道关卡,可以统一对请求和响应进行一些操作。

过滤器 Filter 的分类

过滤器 Filter 按照请求和响应可以分为两种:Pre 类型和 Post 类型。

Pre 类型:在请求被转发到微服务之前,对请求进行拦截和修改,例如参数校验、权限校验、流量监控、日志输出以及协议转换等操作。

Post 类型:微服务处理完请求后,返回响应给网关,网关可以再次进行处理,例如修改响应内容或响应头、日志输出、流量监控等。

另外一种分类是按照过滤器 Filter 作用的范围进行划分:

GlobalFilter:全局过滤器,应用在所有路由上的过滤器。

局部过滤器

GatewayFilter:局部过滤器,应用在单个路由或一组路由上的过滤器。标红色表示比较常用的过滤器。

整理了一份 27 种自带的 GatwayFilter 过滤器。

具体怎么用呢,这里有个示例,如果 URL 匹配成功,则去掉 URL 中的 “api”。

filters: #过滤器
   - RewritePath=/api/(?<segment>.*),/${segment} # 将跳转路径中包含的 “api” 替换成空
复制代码

当然我们也可以自定义过滤器,本篇不做展开。

全局过滤器

整理了一份全局过滤器的表格,具体用法可以参照官方文档。

官方文档:https://cloud.spring.io/spring-cloud-static/Greenwich.SR2/single/spring-cloud.html#_global_filters
复制代码

全局过滤器最常见的用法是进行负载均衡。配置如下所示:

spring:
  cloud:
    gateway:
      routes:
        - id: route_member # 第三方微服务路由规则
          uri: lb://passjava-member # 负载均衡,将请求转发到注册中心注册的 passjava-member 服务
          predicates: # 断言
            - Path=/api/member/** # 如果前端请求路径包含 api/member,则应用这条路由规则
          filters: #过滤器
            - RewritePath=/api/(?<segment>.*),/${segment} # 将跳转路径中包含的api替换成空
复制代码

这里有个关键字 lb,用到了全局过滤器 LoadBalancerClientFilter,当匹配到这个路由后,会将请求转发到 passjava-member 服务,且支持负载均衡转发,也就是先将 passjava-member 解析成实际的微服务的 host 和 port,然后再转发给实际的微服务。

实现简单的 token 认证

在用 Gateway 做登录认证的时候,通常需要我们自定义一个过滤器做登录认证。

比如客户端登录时,将用户名和密码发送给网关,网关转发给认证服务器后,如果账号密码正确,则拿到一个 JWT token,然后客户端再访问应用服务时,先将请求发送给网关,网关统一做 JWT 认证,如果 JWT 符合条件,再将请求转发给应用服务。

原理如下图所示,红色框框的部分就是待会我要演示的部分。

案例演示

下面做一个简单的认证实例。客户端携带 token 访问 member 服务,网关会先校验 token 的合法性,验证规则如下:

当请求的 header 中包含 token,且 token = admin,则认证通过。

当验证通过后,就会将请求转发给 member 服务。

代码示例

  • 先定义一个全局过滤器,验证 token 的合法性。
@Component
public class GlobalLoginFilter implements GlobalFilter, Ordered {
​
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        ServerHttpRequest request= exchange.getRequest();
        String token = request.getHeaders().getFirst("token");
        if(!StringUtils.isEmpty(token)){
            if("admin".equals(token)){
                return chain.filter(exchange);
            }
        }
        exchange.getResponse().setStatusCode(HttpStatus.UNAUTHORIZED);
        return exchange.getResponse().setComplete();
    }
​
    @Override
    public int getOrder() {
        return 0;
    }
}
复制代码
  • 测试 token 不正确的场景。

先测试在 header 中添加 token=123,响应结果为 401 Unauthorized,没有权限。

  • 测试 token 正确的场景。

然后测试在 header 中添加 token=admin,正常返回响应数据。

下一篇:如何用 Gateway 做登录鉴权:SpringCloud Gateway + JWT Token

来源:https://juejin.cn/post/7155324185290473485#heading-7

标签:网关,服务,请求,Spring,Cloud,过滤器,Gateway,路由
From: https://www.cnblogs.com/konglxblog/p/16995367.html

相关文章

  • Spring Cloud Gateway夺命连环10问?
    大家好,我是不才陈某~最近有很多小伙伴私信我催更《SpringCloud进阶》,陈某也总结了一下,最终原因就是陈某之前力求一篇文章将一个组件重要知识点讲透,这样导致了文章篇幅......
  • Spring Boot 属性配置和使用
     3.2.2.2JavaConfig使用方式假设我有一个TestJavaConfigBean,通过JavaConfig的方式还可以使用@Value的方式注入:publicclassTestJavaConfigBean{@Value("${timeout:1......
  • org.springframework.util.Assert
    使用assert的好处就是比较简介,不用加trycatch就可以附加一些预期的提示信息,方便定位问题importorg.springframework.util.Assert;publicclassDemo{publicstaticv......
  • Error creating bean with name 'org.springframework.validation.beanvalidation.Loc
    Errorcreatingbeanwithname‘org.springframework.validation.beanvalidation.LocalValidatorFactoryBean#0’Causedby:javax.validation.ValidationException:Unab......
  • spring mvc+ELK从头开始搭建日志平台
    springmvc+ELK从头开始搭建日志平台最近由于之前协助前公司做了点力所能及的事情,居然收到了一份贵重的端午礼物,是给我女儿的一个乐高积木,整个有7大包物件,我花了接近一天的......
  • Spring AOP
    AOP面向切面编程,相对于OOP面向对象编程。​​spring​​ AOP存在的目的是为了解耦。AOP可以让一组类共享相同的行为。在OOP中只能通过继承类和实现接口,来使代码的耦合度增......
  • Spring Boot「15」统一异常处理
    持续创作,加速成长!这是我参与「掘金日新计划·10月更文挑战」的第15天,点击查看活动详情今天我们将一块学习下SpringMVC中实现统一异常处理的几种方式。总得来说,统一......
  • Spring MVC 拦截器实现登录拦截以及多拦截器的配置执行详解
    持续创作,加速成长!这是我参与「掘金日新计划·10月更文挑战」的第25天,点击查看活动详情前言上一篇文章我们简单了解并完成了SpringMVC拦截器的入门案例,这一篇文章,我们......
  • 构成 Spring Web 服务的各种组件(二)
    6.在客户端上使用SpringWeb服务Spring-WS提供了一个客户端Web服务API,允许对Web服务进行一致的XML驱动访问。它还迎合了编组程序和取消编组程序的使用,以便服务层代码可以......
  • SpringBoot - Yaml语法
    测试用到的类:类的属性必须重写Get与Set方法不管属性是私有的还是公共的,必须重写Get与Set方法@Component@ConfigurationProperties(prefix="student")publicclass......